我有一个WindowsServer2019VPS托管网站。它有所有的最新更新。但不知何故,有一次(部分)黑客攻击企图。我第一次注意到这一点是因为我获得了Microsoft Register (regsvr32.exe)的高CPU使用率的SMS。在本站和过程探索的帮助下,原因是ProgramDAta
文件夹中的DLL。
在那里,我找到了一个名为set.zip
的拉链。包含以下5个文件。comhij.dll
,let.exe
,rn.bat
,x.mof
和xg.dll
。似乎执行了.bat文件并运行了脚本。但是它以某种方式失败了,可能是Windows Defender或其他什么东西阻止了它,导致CPU的高。我之所以知道这一点,是因为.bat中的最后一行会导致它自己删除。我找不到脚本想要做的任何改变。
我把拉链复制到我自己的电脑上,诺顿360立即将let.exe识别为黑客工具,comhij.dll识别为特洛伊木马,xg.dll识别为Trojan.Get.MTB。
服务器具有Windows活动,而在提供程序级别TransIP上,也有一个防火墙活动。
我发现set.zip
是由一个AppPools创建的(如果这很重要的话,它承载一个DotNetNuke CMS ),没有FTP访问。
因此,我的问题是,如何找出这是如何发生的,我如何才能防止它在未来?以及AppPool如何将文件写入其根目录之外的磁盘?根据请求,我可以发布整个.bat脚本。
发布于 2020-10-09 13:16:13
https://serverfault.com/questions/1037075
复制相似问题